Identitätsmanagement

Wie viel Zugriffsrechte sind nötig?

08. November 2013
Christoph Lixenfeld, seit 25 Jahren Journalist und Autor, vorher hat er Publizistik, Romanistik, Politikwissenschaft und Geschichte studiert.

1994 gründete er mit drei Kollegen das Journalistenbüro druckreif in Hamburg, schrieb seitdem für die Süddeutsche Zeitung, den Spiegel, Focus, den Tagesspiegel, das Handelsblatt, die Wirtschaftswoche und viele andere.

Außerdem macht er Hörfunk, vor allem für DeutschlandRadio, und produziert TV-Beiträge, zum Beispiel für die ARD-Magazine Panorama und PlusMinus.

Inhaltlich geht es in seiner Arbeit häufig um die Themen Wirtschaft und IT, aber nicht nur. So beschäftigt er sich seit mehr als 15 Jahren auch mit unseren Sozialsystemen. 2008 erschien im Econ-Verlag sein Buch "Niemand muss ins Heim".

Seit 2014 betreibt er die Informationsplattform www.wohinmitmutter.de.

Christoph Lixenfeld schreibt aber nicht nur, sondern er setzt auch journalistische Produkte ganzheitlich um. Im Rahmen einer Kooperation zwischen Süddeutscher Zeitung und Computerwoche produzierte er so komplette Zeitungsbeilagen zu den Themen Internet und Web Economy inklusive Konzept, Themenplan, Autorenbriefing und Redaktion.
Least Privilege bedeutet, jedem nur die Zugriffsrechte zu geben, die er wirklich braucht. Durch den PRISM-Skandal ist das Thema brisanter denn je geworden.
Big Brother is - really - watching you.
Big Brother is - really - watching you.
Foto: fotolia.com/Kobes

Stellen Sie sich vor, Sie fahren drei Wochen in den Urlaub. Haustiere, die gefüttert werden müssten, haben sie keine, und die Zimmerpflanzen sind allesamt aus Plastik, seit die Echten wegen schlechter Pflege eingegangen sind. Nur die Post, die müsste jemand aus dem Kasten holen, damit der nicht überläuft. Sie bitten ihren Nachbarn darum. Würden sie ihm in dieser Situation einen kompletten Schlüsselsatz samt Wohnungsschlüssel geben? Wohl kaum, warum auch? Selbst wenn das damit verbundene Risiko gering wäre: Es gibt einfach keinen Grund, es einzugehen. Der Nachbar braucht für den "Job", den er erledigen soll, lediglich Zugang zum Briefkasten.

Das "Least Privilege"-Prinzip funktioniert - übertragen auf IT-Systeme - exakt genauso. Es bedeutet, wie der Name sagt, jedem, der Zugang zu den Systemen eines Unternehmens haben muss, das kleinstmögliche Privileg einzuräumen. Will sagen: Er kann nur die Daten sehen, die er sehen muss, nicht mehr, aber auch nicht weniger. Wichtig ist das deshalb, weil sich dunkle Mächte und Kriminelle häufig gar nicht direkt Zugang zu IT-Infrastrukturen verschaffen. Statt dessen bedienen sie sich - bemerkt oder unbemerkt - derjenigen, die zu Recht Zugriff auf die Datenbestände haben.

Mehr als zwei Drittel der IT-Mitarbeiter in Führungspositionen gehen davon aus, dass die größte Bedrohung von internen Mitarbeitern oder von Externen der Partnerfirmen und Dienstleister ausgeht. Das stellte bereits im vergangenen Jahr, also lange vor dem PRISM-Skandal, eine breit angelegte Studie des Sicherheitsunternehmens Cyber Ark fest. Risikoreich sind demnach vor allem privilegierte Nutzerkonten von Administratoren.

Obwohl sie das Problem erkannt haben, steuern viele Unternehmen nicht gegen: 43 Prozent der im Rahmen der Studie Befragten gaben an, dass sie die Nutzung privilegierter Accounts nicht überwachen. Das könnte, ähnlich wie beim Rauchen, damit zusammenhängen, dass die meisten Menschen Gefahren intensiv verdrängen, so lange nichts schwerwiegendes passiert. So ist es vielleicht auch zu erklären, dass das Problem der Wirtschaftsspionage lange unterschätzt beziehungsweise einseitig betrachtet wurde. Seit Jahren gibt es Warnungen der deutschen Geheimdienste, aber erstens wurden sie gerade von mittelständischen Unternehmen nicht ernstgenommen, und zweitens war dabei immer nur von Russland und China die Rede. Von den amerikanischen Freunden sprach fast niemand.

Viele Privilegien bergen hohes Gefahrenpotenzial

Die Bundeskanzlerin war beim Schutz ihrer Kommunikation offenbar zu nachlässig.
Die Bundeskanzlerin war beim Schutz ihrer Kommunikation offenbar zu nachlässig.
Foto: Christian Wyrwa

Nächstes Problem: Technische Schutzvorrichtungen wirken nur, wenn man sie auch benutzt. Diese Erfahrung machte in den zurückliegenden Wochen die Bundeskanzlerin. Sie benutzte offenbar neben ihrem eigenen, geschützten "Merkelphone" auch andere Handys. Dabei geriet wohl in Vergessenheit, dass Verschlüsselung nur funktioniert, wenn sie auf beiden Seiten der Leitung eingesetzt wird.
Spätestens mit dem Auffliegen dieses Abhörfalls wurde dies allen nochmal deutlich vor Augen geführt, stellt Hans-Joachim Popp, CIO des Deutschen Zentrums für Luft- und Raumfahrt (DLR), fest.

In ähnlicher Weise gilt das umgekehrt auch für die Nutzung von Administrationsrechten: Immer wieder werden hochrangige Rechte auch für trivialste Aufgaben verwendet. Popp plädiert deshalb vor allem für eine konsequente Umsetzung des sogenannten Least-Privilege-Prinzips. "Hochrangige Rechte sind gefährlich. Wer sie besitzt, dem können Fehler unterlaufen, und dem können sie auch gestohlen werden. Und fast alle, die Zugriff auf Systeme haben, vergessen, mit welchen Rechten sie genau arbeiten." Der DLR-CIO empfiehlt, weitreichende Zugriffe nur dann zu ermöglichen, wenn es für einen speziellen Job unbedingt erforderlich ist, und anschließend sofort wieder andere Konten zu benutzen. Für High-Tech-Zugängen, die alles zerstören könnten, rät er, das Passwort nach jeder Nutzung zu ändern.

Schließlich ist jeder, der Admin-Rechte hat, ein lohnendes Angriffsziel, und je mehr Ziele es gibt, desto größer ist die Wahrscheinlichkeit, dass der Gegner einen Treffer landet. Angreifer arbeiten oft mit schlichten, aber sehr wirkungsvollen Tricks. Zum Beispiel mit dem Einschleusen von Schadsoftware, die Passwörter ausliest. Parallel dazu läuft ein kleines Programm ab, das den Webserver spürbar langsamer macht. Sobald der Admin diesen Fehler beheben will, schnappt die Falle zu ...

Um das Verantwortungsgefühl zu stärken und um im Nachhinein immer zu wissen, wer genau angegriffen worden ist, rät Hans-Joachim Popp dazu, nie mehrere Personen das selbe Admin-Konto benutzen zu lassen. Was wer im System genau gemacht hat, muss immer nachvollziehbar sein. Beim DLR können die Zugriffsrechtes jedes Mitarbeiters überprüft und vom direkten Vorgesetzten auch wieder entzogen werden.

Alte Konten zuverlässig löschen

Wenn ein Angestellter ausscheidet, werden sämtlichen Zugänge zurückgenommen. Hans-Joachim Popp hält es für besonders wichtig, dass diese automatisch geschieht, auch wenn das zu skurrilen Situationen führen kann: "Bei uns ist es einmal passiert, dass ein Vorstand morgens eine Mail bekam, in der Stand, sein Konto sei abgelaufen. Der Grund war, dass die HR-Abteilung seine Vertragsverlängerung noch nicht ans System gemeldet hatte. Er war nicht glücklich darüber, aber eigentlich hat der Vorgang den Beweis geliefert, dass das Sicherheitssystem korrekt funktioniert."

Automatisierung und Kontrolle sind deshalb so wichtig, weil aus Eigenmotivation der Beiteiligten in der Regel wenig passiert. Hans-Joachim Popp: „Für Admins sind hochrangige Rechte eine indirekte Anerkennung ihrer Arbeit. Außerdem spielt natürlich Bequemlichkeit eine große Rolle." Wie man diese Bequemlichkeit überwindet? Zum Beispiel indem man Präzedenz-Schadensfälle analysiert und wenn nötig auch den Vorstand einbezieht. Das schärft die Sensibilität und baut den notwendigen Druck auf.

Je weniger Tore die Burg hat, desto besser

Bei Mitarbeitern von Partnerunternehmen und externen Dienstleistern sei eine entsprechende Policy nicht unbedingt leichter durchsetzbar als bei Internen. Popp: "Externe verteidigen ihre Zugangsrechte oft mit einer Form von unterschwelligem Boykott. Sie sagen zum Beispiel: Diese und jene Aufgabe können wir nicht durchführen, weil wir keinen Zugang hatten. Die Rechte habt ihr uns ja weggenommen." In solchen Fällen bliebe CIOs nichts anderes übrig, als sich mit Gegendruck gegen die Boykottversuche zu wehren.

Wie leicht man seine Zugangsdaten an einen Betrüger verlieren kann, das lernen auch Menschen, denen - wie auch immer - ein Windows-Laptop abhanden kommt. Findige Hacker können dann nämlich das Passwort herausbekommen. Besser also, wenn dieses Passwort nicht zugleich weitreichenden Zugriff auf das Firmennetzwerk ermöglicht.

Um wieder mit einem Bild zu enden: Stellen Sie sich vor, Sie haben eine Burg zu verteidigen und dafür nur begrenzte Manpower zur Verfügung. Dann ist es sicher hilfreich, wenn es so wenige und so kleine Tore wie möglich in der Burgmauer gibt, um die Sie sich kümmern müssen. Jeder, der Zugang zu ihren Systemen hat, stellt ein solches Tor dar. Und je umfangreicher die Zugangsrechte, desto größer ist es.

Zur Startseite